SUR:TreasureDAO攻擊事件分析-ODAILY

前言

北京時間2022年03月03日，知道創宇區塊鏈安全實驗室監測到Arbitrum上TreasureDAO的NFT交易市場出現多次異常交易,黑客通過漏洞免費獲取交易市場中部分NFT。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

事件分析

基礎信息

攻擊交易哈希：0x57dc8e6a28efa28ac4a3ef50105b73f45d56615d4a6c142463b6372741db2a2b

Bittrex美國申請破產，破產公告不會影響Bittrex全球公司:金色財經報道，加密貨幣交易平臺Bittrex在收到美國證交會指控后申請破產，并稱破產公告不會影響Bittrex全球公司，其將繼續為美國以外的客戶正常運營。Bittrex表示，在4月底之前沒有從平臺提取資金的客戶的資產仍然是安全的。[2023/5/9 14:50:53]

TreasureMarketplace：0x2E3b85F85628301a0Bce300Dee3A6B04195A15Ee

TreasureMarketplaceBuyer：0x812cdA2181ed7c45a35a691E0C85E231D218E273

硬件錢包Trezor對擁有郵件營銷服務MailChimp的Intuit提起訴訟:金色財經報道，硬件錢包Trezor的所有者對擁有郵件營銷服務MailChimp的Intuit提起訴訟。4 月初，一名黑客侵入了 MailChimp 數據庫并竊取了 106,856 名用戶的個人數據。然后攻擊者向硬件加密存儲的所有者發送電子郵件，其中包含指向假 Trezor 網站的鏈接，以下載據稱是新版本的應用程序。

安裝該軟件并輸入助記詞的人丟失了存儲在其加密錢包中的虛擬貨幣。Trezor的所有者希望公司賠償受害者因數據泄露而產生的法律費用和損失。

此前消息，硬件錢包Trezor針對網絡釣魚攻擊事件發推稱，郵件營銷平臺MailChimp已確認其服務受到一位內部人士（insider）針對加密公司的攻擊，Trezor正在嘗試確定影響的郵箱數量。（bitnovosti）[2022/4/25 14:46:15]

攻擊流程

1500萬枚USDT從Tether Treasury錢包轉入Huobi交易所:據WhaleAlert數據顯示，07月02日15:24，1500萬枚USDT從Tether Treasury錢包轉入Huobi交易所，按當前價格計算，價值約1491.5萬美元。[2020/7/2]

攻擊者調用TreasureMarketplaceBuyer合約的buyItem函數進行購買NFT的操作，但是我們從InputData中可以看出攻擊者傳入的_quantity參數為0。雖然傳入的購買NFT數量為0，但是攻擊者依然成功的獲得了一枚編號為的NFT，且TokensTranferred中并未進行代幣轉移。

動態 | 近6萬人報名參與Satoshi`s Treasure:據coindesk消息，Satoshi's Treasure聯合創始人Eric Meltzer表示，到目前為止，已有近6萬人報名參與Satoshi's Treasure。據此前消息，謎題游戲Satoshi's Treasure隱藏了價值100萬美元的比特幣私鑰。該游戲的線索一共有1000個，至少需要找到400個線索才能轉移資金。玩家可以以任何方式收集和解開線索，甚至可以選擇出售線索。[2019/5/12]

攻擊核心

根據上述分析，問題核心可能出現在TreasureMarketplaceBuyer合約的buyItem函數。跟進分析后發現，用戶調用該函數后合約首先計算出用戶購買此NFT的價格，根據購買數量計算出總的價格并將所需支付的代幣轉入合約；然后調用TreasureMarketplace的buyItem將用戶需要購買的NFT從Marketplace購買到TreasureMarketplaceBuyer最后將NFT發送到用戶賬戶。觀察合約43-46行發現對ERC-721標準的NFT轉移并未對其進行數量判斷，若此時的_quantity為0，用戶依然會收到NFT。

跟進TreasureMarketplace的buyItem函數發現，合約從市場回購NFT時只需完成listedItem.quantity>=_quantity的限制條件后便開始轉移NFT到TreasureMarketplaceBuyer合約，若此時的_quantity為0，依然會轉移NFT到TreasureMarketplaceBuyer中。

根據上述分析后發現，當攻擊者調用TreasureMarketplaceBuyer合約的buyItem函數進行購買NFT時，若參數_quantity值為0，由于合約并沒有對NFT轉移數量的判斷，且計算價格totalPrice=_pricePerItem*_quantity結果為0，最后導致攻擊者能夠免費獲取該交易市場中ERC-721標準的NFT。

總結

這次攻擊產生的主要原因是項目方對NFT轉移數量并未做足夠的判斷，且并未考慮到購買數量為0的惡意購買行為。知道創宇區塊鏈安全實驗室在此提醒，任何有關代幣轉移的操作都需要慎重考慮，合約審計、風控措施、應急計劃等都有必要切實落實。

參考鏈接：

knownseclab.com

knownseclab.com/hacked-archive

Tags：SURREANFTSUREBitball Treasureethereal寓意DNFTSafeInsure

Polygon